افشاء اطلاعات ذخیره شده در آمازون AWS

خبرهای جدید حاکی از آن است که حدود ۳ میلیون فایل یک شرکت آمریکایی که حاوی تصاویر احراز هویت زیست سنجی و کارت های شناسایی کاربران می باشند، افشا شده است. پس از انجام بررسی های لازم مشخص شد که دلیل این نشت اطلاعاتی، تنظیم نادرست یک باکت Amazon S3 بوده است.

لازم به ذکر است Amazon S3 (Amazon Simple Storage Service) یک سرویس ذخیره سازی اشیا است که موجب افزایش مقیاس پذیری، در دسترس بودن داده ها، امنیت و عملکرد بیشتر می شود.

محققان شرکت Website Planet در بررسی های خود متوجه شدند که رکوردهای افشا شده، متعلق به یک شرکت آمریکایی در کالیفرنیا است. در حال حاضر این شرکت تعطیل شده و آدرس ایمیل آن نیز نامعتبر است. وب سایت آن هم از دسترس کاربران خارج شده است.

کارت‌های شناسایی مثل گواهینامه رانندگی (شامل اطلاعاتی همچون شماره گواهینامه، نام، تاریخ تولد، آدرس منزل، جنسیت، رنگ مو و چشم، قد، وزن و عکس افراد) و هزاران فایل اسکن شده از اثر انگشت کاربران، از جمله مهمترین اطلاعات افشا شده هستند.

بر اساس گزارش ها، حجم گسترده ای از این داده‌ها مربوط به شهروندان کالیفرنیایی هستند که در سال‌های ۲۰۱۲ تا ۲۰۱۵ میلادی از فروشگاه‌های TronicsXchange بازدید کرده‌اند. با این حال هنوز مشخص نیست که آیا قبل از Website Planet، شخص یا گروه دیگری به این اطلاعات دسترسی پیدا کرده‌ است یا خیر. هر چند که امروزه انجام این کار به لطف وجود ابزارهای خودکار به راحتی ممکن است. محققان هشدار داده اند که امکان استفاده از این اطلاعات برای درخواست افتتاح حساب اعتباری یا بانکی وجود دارد.

به گفته محققان: «باکت TronicsXchange حاوی مجموعه گسترده ای از اطلاعات شخصی از جمله اطلاعات هویتی بوده که مهاجمان می‌توانند برای ایجاد زیان‌های مالی، اجتماعی و اعتباری از آنها سوءاستفاده کنند. همچنین با توجه به این که اسناد صادر شده توسط دولت افشا شده‌اند، مجرمان سایبری می‌توانند از آنها برای جعل هویت شهروندان سوءاستفاده نمایند. علاوه بر این، امکان استفاده غیرمجاز از اسناد رسمی و اطلاعات تماس هم برای سرقت هویت کاربران وجود دارد».

منبع: https://www.infosecurity-magazine.com/news/80000-id-cards-fingerprint-exposed/